Este documento descreve como ativar o Security Command Center Standard para uma organização usando o Google Cloud console.
As ativações do nível Standard na organização ativam os recursos aprimorados do nível Standard.
Para informações sobre os recursos aprimorados no nível Standard, consulte Níveis de serviço do Security Command Center.
Para informações sobre as diferenças entre os níveis Standard e Standard-legado, consulte Nível Standard aprimorado e ativado automaticamente para alguns clientes.
Para ativar o Security Command Center para um nível de serviço diferente, consulte o seguinte:
- Ativar o nível Premium do Security Command Center para uma organização
- Ativar o Security Command Center Enterprise Center
Para ativar o Security Command Center para um projeto, consulte Ativar o Security Command Center para um projeto.
Antes de começar
Antes de ativar o Security Command Center Standard para uma organização, faça o seguinte:
- Receba papéis e permissões específicos do Identity and Access Management (IAM).
- Opcional: ative a API Security Center Management.
- Revise as políticas da organização, se aplicável à sua organização.
- Se você planeja ativar a residência de dados, revise o Planejamento da residência de dados e determine qual local usar.
Se você planeja usar uma chave de criptografia gerenciada pelo cliente (CMEK), conclua as tarefas necessárias para ativar a CMEK para o Security Command Center.
É possível configurar a residência de dados e a criptografia de dados ao ativar o Security Command Center. Para mudar essas configurações depois de você ativar o Security Command Center Standard ou Premium, consulte Modificar a configuração de residência de dados ou criptografia de dados.
Funções exigidas
Para receber as permissões necessárias para ativar o Security Command Center para uma organização, peça ao administrador que conceda a você os seguintes papéis do IAM na sua organização:
- Administrador da Central de segurança (
roles/securitycenter.admin) - Administrador da organização (
roles/resourcemanager.organizationAdmin)
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Também é possível conseguir as permissões necessárias com papéis personalizados ou outros papéis predefinidos.
Ativar a API Security Center Management
Se você planeja usar a API Security Center Management, ative-a no projeto em que planeja chamá-la:
Funções necessárias para ativar APIs
Para ativar APIs, é necessário ter a permissão serviceusage.services.enable. Se você
criou o projeto, provavelmente já tem essa permissão pelo
papel de proprietário (roles/owner). Caso contrário, você pode receber essa permissão pelo
papel de administrador de uso do serviço (roles/serviceusage.serviceUsageAdmin).
Saiba como conceder papéis.
Revisar as políticas da organização
Se as políticas da organização estiverem definidas para restringir identidades por domínio, confirme o seguinte:
- Você precisa fazer login no Google Cloud console em uma conta que esteja em um domínio permitido.
- As contas de serviço precisam estar em um domínio permitido ou membros de um grupo dentro do domínio. Esse requisito permite que você autorize serviços que usam a conta de serviço
@*.gserviceaccount.coma acessar recursos quando o compartilhamento restrito de domínio está ativado.
Se as políticas da sua organização estiverem definidas para restringir o uso de recursos, verifique se as seguintes APIs são permitidas pela política:
securitycenter.googleapis.comsecuritycentermanagement.googleapis.com
Ativar o Security Command Center Standard
É possível ativar o Security Command Center Standard para uma organização pelo Google Cloud console.
No Google Cloud console do, acesse a página de boas-vindas do Security Command Center.
Se você quiser ativar a residência de dados, abra um console jurisdicional usando o URL que corresponde ao local que você planeja configurar.
É necessário usar oconsole jurisdicional Google Cloud para ativar o Security Command Center com controles de residência de dados e modificar a configuração de residência de dados após a ativação. Para mais detalhes, consulte Sobre o console jurisdicional Google Cloud console.
Selecione a organização para a qual você quer ativar o Security Command Center Standard e clique em Receber Standard.
Na página de boas-vindas, clique em Selecionar.
Opcional: para confirmar a configuração de residência de dados ou mudar a configuração de criptografia de dados, clique em Mostrar mais.
- Se você estiver usando um console jurisdicional, o Residência de dados campo vai mostrar Ativar e o Local campo vai mostrar o mesmo local que o console jurisdicional. Para mudar o local, abra o console usando um URL que corresponda ao local que você quer configurar.
- A configuração de criptografia de dados padrão usa Google-owned and Google-managed encryption keys.
Para usar uma chave do Cloud Key Management Service, clique em Editar criptografia de dados e faça o seguinte:
- Selecione Chave do Cloud KMS.
- Selecione um projeto.
- Selecione uma chave. É possível selecionar uma chave de qualquer Google Cloud projeto, incluindo projetos em outras organizações. Somente as chaves em locais compatíveis são mostradas na lista.
Para saber quais locais de chave são compatíveis com o Security Command Center, consulte Determinar o local da chave.
Se a organização usa políticas da organização de CMEK, talvez você só tenha a opção de escolher CMEK ou chaves específicas.
Durante o processo de ativação, o Security Command Center concede o papel de criptografador/descriptografador de CryptoKey do Cloud KMS (
roles/cloudkms.cryptoKeyEncrypterDecrypter) ao agente de serviço do Security Command Center do Cloud na chave do Cloud KMS.
Clique em Ativar.
À medida que os resultados ficam disponíveis, eles são mostrados no console. Em seguida, você pode usar o Google Cloud console para revisar e corrigir Google Cloud riscos de segurança e dados.
O Security Command Center conclui a primeira verificação completa em até 24 horas. As verificações de alguns serviços podem demorar um tempo até serem iniciadas. Para mais informações, consulte Quando esperar descobertas no Security Command Center.
Se você fizer upgrade do Security Command Center Standard para o Premium, terá acesso a gráficos que mostram o progresso da verificação de recursos como problemas, ameaças e frameworks. Os gráficos atuais também são atualizados com os resultados da verificação dos detectores Premium à medida que os resultados ficam disponíveis.
Serviços do Security Command Center Standard
Depois de ativar o Security Command Center Standard, serviços específicos são ativados automaticamente, e os agentes de serviço são criados para que esses serviços possam agir em seu nome.
O Security Command Center usa serviços de detecção para detectar problemas de segurança. Os seguintes serviços são ativados quando você ativa o Security Command Center Standard:
Consulte a documentação de cada serviço para instruções de uso e otimização.
É possível ativar outros serviços seguindo as etapas em Configurar serviços do Security Command Center.
Modificar o nível de serviço do Security Command Center
Para mais informações sobre o gerenciamento de níveis, consulte Modificar o nível Standard do Security Command Center para uma organização.
A seguir
- Saiba como configurar os serviços do Security Command Center.
- Saiba como usar o Security Command Center no Google Cloud console.
- Saiba como trabalhar com as descobertas do Security Command Center.
- Saiba mais sobre Google Cloud as fontes de segurança.
- Saiba como Model Armor pode ajudar a proteger suas cargas de trabalho de IA.